Přejít na hlavní obsah
CIAD

Útočníci obcházejí VPN přihlášení v produktech Palo Alto. Záplatujte ihned

Zranitelnost v PAN-OS GlobalProtect umožňuje vstup do firemní sítě bez hesla. Reálné útoky probíhají od 17. května 2026.

  1. května 2026 zařadila americká agentura CISA (Cybersecurity and Infrastructure Security Agency, tedy federální úřad pro kybernetickou bezpečnost USA) zranitelnost označenou CVE-2026-0257 do katalogu Known Exploited Vulnerabilities, neboli katalogu aktivně zneužívaných bezpečnostních slabin. Postižena je komponenta GlobalProtect v operačním systému PAN-OS firmy Palo Alto Networks. Firma Rapid7 MDR potvrdila, že k úspěšným útokům dochází v reálném prostředí již od 17. května 2026.

Co se děje a proč by vás to mělo zajímat

GlobalProtect je VPN řešení (nástroj pro zabezpečený vzdálený přístup do firemní sítě) rozšířené zejména ve vládních organizacích, finančních institucích, zdravotnictví a u provozovatelů kritické infrastruktury.

Nalezená zranitelnost je takzvaný authentication bypass, tedy obejití přihlašovací ochrany. Útočník zvenčí, bez hesla a bez jakéhokoli předchozího oprávnění, dokáže padělat ověřovací cookie (malý datový token, který systém používá k potvrzení identity) a na základě tohoto falešného tokenu vytvořit neoprávněné VPN připojení do chráněné sítě organizace. Přístup do vnitřní sítě pak útočníkovi otevírá cestu k pohybu po systémech, krádeži dat nebo nasazení ransomwaru (škodlivého softwaru, který zašifruje data a požaduje výkupné).

Palo Alto Networks zveřejnilo bezpečnostní oznámení 13. května 2026. Rapid7 MDR zdokumentoval první úspěšné útoky již 17. května 2026, tedy pouhé čtyři dny po vydání varování. Tato prodleva je výrazně kratší, než jaká bývá průměrná doba záplatování ve většině organizací.

Federálním agenturám USA byl stanoven deadline pro aplikaci záplat na 1. června 2026.

Doporučení

  • Okamžitě aplikujte záplaty PAN-OS pro CVE-2026-0257 na všech firewallech s aktivní komponentou GlobalProtect Portal nebo Gateway.

  • Prozkoumejte logy GlobalProtect za období od 1. května 2026 se zaměřením na neočekávaná VPN připojení, přihlášení z neobvyklých IP adres nebo anomálie v autentizačních záznamech.

  • Zvažte dočasné omezení přístupu ke GlobalProtect portálu na ověřené IP rozsahy nebo nasazení dalšího autentizačního faktoru jako kompenzační kontroly do doby aplikace záplaty.

  • Informujte SOC (bezpečnostní operační centrum) a bezpečnostní tým o indikátorech kompromitace zveřejněných Rapid7 a doplňte je do pravidel detekce SIEM a NDR (nástrojů pro monitorování bezpečnostních událostí a síťového provozu).

  • Ověřte, zda jsou všechny instance PAN-OS v organizaci centrálně inventarizovány, a identifikujte případné stínové nebo nesledované VPN brány.

Co z toho plyne

Organizace v České republice a EU, které nasadily GlobalProtect jako VPN řešení, by měly záplatování považovat za prioritu nejvyšší úrovně. Dostupnost potvrzených útoků v reálném prostředí vylučuje možnost odložení záplat na příští standardní maintenance okno. Čtyři dny mezi zveřejněním zranitelnosti a prvními reálnými útoky jsou varující signál: záplatování musí proběhnout v řádu hodin, nikoli týdnů.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog